技术领域
[0001] 本
发明属于
电子信息技术防伪的技术领域,涉及到电子政务和
电子商务用标识密钥签署电子文件的信息安全的应用技术。
背景技术
[0002] 目前,为满足电子政务和电子商务的对签署文件安全性、可靠性需求,采用加密技术来获得的电子版签署文件。
[0003] 传统PKI(Public Key Infrastructure公钥
基础设施)数字签名技术:PKI核心的数字证书里含有一对(1024bit国际RSA密码
算法,160bit国密SM2密码算法)的非对称的随机数密码,称为公钥和私钥。用其中私钥密码加密,唯有配套公钥密码可解密。在PKI中公钥是公开的,在认证机构CA的网络
服务器上反映用户身份的信息,能够用来加、解密文件和验证身份。私钥用来进行“签名”和加、解密。对文件进行签名操作,首先对电子文件进行哈希(hash)运算,获得文件的
摘要(就是哈希值、摘要、唯一值或指纹信息),然后用私钥对摘要进行非对称算法加密就是所谓的签名,利用公钥对签名文件进行非对称算法解密就是所谓的验名或验签,这是目前数字签名实用化的应用和操作方式。----上述这些原理、操作过程对电子政务、电子商务和非专业的人员来说其内容、方法是难以理解和掌握的,甚至于那些名词对非专业人士都显得晦涩难懂,根本谈不上灵活应用了。因为数字签名技术存在种种应用困难的问题,所以世界各国(含中国《电子签名法》)及联合国电子签名法中都有“约定使用或不使用”“不得强制使用”相关条款。
[0004] IBC(Identity-BasedCryptosystem)(国密SM9密码算法)标识密码算法是基于身份的公钥密码系统,IBC系统中身份即公钥,身份即证书。因此,IBC系统的公钥几乎不需要任何关于公钥的管理和认证,IBC中公钥无需另行生产,而直接由用户ID充当,如上述IBC算法公钥,因而不存在公钥管理和认证的问题,亦不存在PKI通信每次都需经CA做身份验证的麻烦。IBC对系统成本和运行环境要求不高,相比之 下更具有灵活性。IBC 的特点就是能够发送加密信息给没有数字证书的接收方。这样一来,如果需要,企业可以与客户和合作伙伴进行安全通信。
[0005] 标识密码系统与传统公钥密码(PKI/CA)一样,每个用户有一对相关联的公钥和私钥。不同的是:标识密码系统中,将用户的身份标识如姓名、IP地址、电子邮箱地址、手机号码等作为公钥,通过数学方式生成与之对应的用户私钥。用户标识就是该用户的公钥,不需要额外生成和存储,只需通过某种方式公开发布,私钥则由用户秘密保存。
[0006]
专利号为201711471521.5,名称:一种用标识密钥签署文件及验证方法,其专利文献公开了:“以表征身份特征的标识数据经“标识密码算法”运算生成非对称标识公私密钥对,将其中做公钥的标识密码数据转换成可视标识图形用于签署文件,并将其注册、分发至签署端和验证端”,文献中公开了利用标示密钥公钥签署文件的技术方法,未公开还可以利用标示密钥中的公钥转换为地址用来安全传送文件的的技术方法。
发明内容
[0007] 本发明的目的在于:将“标识密码算法”中做公钥的标识密码数据用来加、解密文件,再将标识密钥中的公钥转换成可视标识图形用于签署文件,还利用标识密钥中的公钥转换为地址用来安全传送文件的的技术方法。
[0008] 为达到上述目的,本发明采用以下技术方案予以实现:用标识密钥安全加解密、签署、传递文件的网络系统,其特征在于:以标识密钥对中用来加、解密的公钥密码数据,转换成可视图形实施文件签署;再转换成收发地址来传递文件;标识公钥密码数据采用明示涵义的、公开的、且易知易获的数据。
[0009] 经“标识密码算法”运算生成非对称标识公私密钥对,将其中作为公钥的标识密码数据经数据/图形转换器转换成表征身份特征的可视图形,借助签署安全技术的保障对电子签署文件实施签署;将签署用的标识密钥的数据转换为直读的图形或文字外,还能够转换为再读图形、文字、数据码签署到文件上去。
[0010] 经“标识密码算法”运算生成非对称标识公私密钥对,将其中作为公钥的标识密码数据经数据/地址转换器转换成与身份特征相关联的地址数据、邮箱,借助签署安全技术的保障对电子文件实施转发/接收。
[0011] 系统设置了签署端和网络之间的信息的密码算法安全传输通道,以及签署端(用户)和签署端(用户)之间相互传递信息的安全传输通道。
[0012] 系统设置了将签署标识进行动态的数据加密,实现“一签一密”的签署安全技术。
[0013] 系统设置了仅利用签署时生成的电子证据对文件的原始行和完善性的 “盲验证”的环节。
[0014] 系统设置了文件用户对签署过标识的文件进行原始性、和完善性的查询验证环节。
[0015] 系统设置了对称密钥体制和非对称公钥体制的互嵌数据包,实施文件的安全传递。
[0016] 系统设置的签署电子证据和签署文件存储保全措施。
[0017] 有益的效果:利用了标识密钥算法能够将用户的身份标识(如姓名、IP地址、电子邮箱地址、手机号码等)作为公钥的优点,提供一种用标识密钥安全地加密、签署、传递电子文件的网络系统,采用标识密钥算法中的用来加密标识密钥数据转换成的图形来签署文件,将标识数据既做密钥对电子文件实施加解密运算,又以其标识数据(转换的图形)对电子文件实施安全签署,再将标识数据转换成收发地址来传递文件,成为电子文件安全签署、安全发送及可追溯的实用系统。
[0018] 具体实施方法:进一步公开和分析本发明的技术方案:
用标识密钥安全签署、传递文件的网络系统,其特征在于:以标识密钥对中用来加、解密的公钥密码数据,转换成可视图形实施文件签署;再转换成收发地址来传递文件;标识公钥密码数据采用明示涵义的、公开的、且易知易获的数据。
[0019] 经“标识密码算法”(国际IBC或国密SM9)运算生成非对称标识公私密钥对,将其中作为公钥的标识密码数据转换成表征身份特征的可视图形,借助签署安全技术的保障对电子签署文件实施签署。经过“盲验证”(不读取签署文件的具体内容)完成对签署文件完善性、原始性的验证;再将标识公钥密码数据作为地址(发送/接收地址)实施签署文件安全地传递。
[0020] 系统设置了签署端和网络之间的信息的安全传输通道,签署端和签署端之间相互传递信息的安全传输通道。
[0021] 签署信息安全传输通道:签署(用户)端和验证传递网络平台之间的安全信息通道:由“非对称密码算法”(国际RSA或国密SM2)运算分别取得随机数加解密密钥对,将各自的加密密钥隐匿在对方,构成密钥交互内置的端对端安全传输通道。
[0022] 传递信息安全传输通道:传递(用户)端之间以及与其它通讯发送/接收端的安全信息通道:由 “标识密钥算法”(国际IBC或国密SM9) 取得对应端的标识数据非对称公私密钥对,将公钥公开,私钥分发至各自存储组成接收/传递信息的安全通道。
[0023] 系统设置了将签署标识进行动态的数据加密,实现“一签一密”的签署安全技术。
[0024] “一签一密”的签署:签署(用户)端利用每次签署的实时时间,对自存的可视标识图形进行时控随机数据异化扰动运算,可视标识图形被加载了非显而易见的、随机化的数据,经唯一性算法(国际HASH或国密SM3)运算生成签署标识证据,再对签署了标识图形的文件进行惟一性(国际HASH或国密SM3)运算生成原始文件证据,并将实时时间的参数、签署标识证据参数和文件证据参数组合为签署电子证据数据包经数据安全通道发送至验证传递网络平台。
[0025] 还能够将签署用的标识密钥的数据转换为直读的图形或文字、以及再读图形、文字、数据码签署到文件上去。
[0026] 直读的方法是:将标识公钥数据加载与数据/图形转换器上,生成直读的明文形式的标识图形文件,用于签署文件。
[0027] 再读的方法是:由数据码转换器将标识公钥数据以及与标识公钥数据关联的身份信息转换成可读数据码图形用于签署文件;数据码图形经再读转换获得标识数据和标识数据关联的身份信息。
[0028] 系统设置了仅利用签署时生成的电子证据对文件的原始行和完善性的 “盲验证”的环节。
[0029] 不看原文的“盲验证”:验证网络平台利用签署端传来的电子证据数据包中的实时时间参数,对自存的可视标识图形进行时控随机数据异化扰动运算,可视标识图形被加载了非显而易见的、随机化数据,再经唯一性算法运算生成验证标识证据;验证网络平台以签署标识证据和验证标识证据的比对结果相同与否验证和判定签署时间、签署者标识和内涵信息的正确性,生成文件的证据验证结果查询文件,反馈给签署(用户)端。
[0030] 系统设置了文件用户对签署过标识的文件进行原始性、和完善性的查询验证环节。
[0031] 确认文件原始性的查询:对签署了标识图形的文件进行惟一性运算生成文件的查询文件,发送至验证网络平台,验证网络平台进行原始文件的证据和查询文件证据的比对运算,并将其结果反馈给查询方。
[0032] 系统设置了对称密钥体制(国密SM4)和非对称公钥体制(国密SM2)的“数字信封”,实施文件的安全传递。
[0033] 采用了对称密钥体制和非对称公钥体制的“数字信封”技术:数字信封中用标识密钥的私钥加密签署文件换算的哈希值,用时控随机函数
数据库里获得的随机数做对称密钥加密签署文件,标识公钥密码数据作为身份信息和地址(发送/接收地址)实施安全传递,保证了数据传输的真实性和完整性。
[0034] 标识公钥数据用来做加密、转换成图形做文件签署、转换成地址做文件传送。
[0035] 签署文件的标识公钥数据:具有与身份
属性信息关联且能够以文字、字母、数字、图形、图像形式展示的可视标识的字符、字母或文字数据;以及可转换的包含身份属性特征的标识图形或图像数据:符号图形、形状图形、电子数据码、
生物特征值的图形、图像数据的其一或组合。
[0036] 传送文件的标识公钥数据:具有与身份属性信息关联的通讯信息、以及那些在公共场合能够被人知晓的公开数据和信息,包含:名称、电子邮箱、电话号码、ID/IP地址的其一或组合;还有能够进行数据加密功能的、且能够在公开场合披露其密码属性的数据。
[0037] 签署文件与传送文件的标识公钥数据能够共用。
[0038] 系统设置的签署电子证据和签署文件存储保全措施。
[0039] 将签署过程中产生的电子证据和签署文件记录分别存储在签署标识盘;签署(用户)端、验证网络平台自的存储介质中。
[0040] 在验证网络平台设置的电子证据数据库和签署文件数据库里将一个电子证据和签署文件记录被分别存储在三个不同的存储区。
[0041] 对电子证据和签署文件数据定时进行扫描、刷新,发现数据出错,用两个相同的证据数据置换、刷新一个不同的证据数据做错误修正。
[0042] 以上的
实施例,仅为说明本发明的技术思想和可实施性,不能依此限定本发明的保护范围,凡是按照本发明提出的技术思想,在方案的技术基础上所做的任何改动,均落入本发明专利要求书的保护范围之内。
